用于访问受保护资源的口令状态机的制作方法

技术特征：
1.一种用于提供对资源的访问控制的计算机实现的方法，所述方法包括：接收用于使用请求设备与认证机制之间的共享秘密来访问资源的认证请求，所述共享秘密包括以预定义的顺序排列的预定义的认证信息状态；以指定的顺序接收指定的信息项，使得每个指定的信息项对应于所述预定义的认证信息状态中的一种状态；访问以预定义的顺序排列的所述预定义的认证信息状态；确定每个所述指定的信息项是否正确匹配其对应的预定义的认证信息状态；响应于确定匹配不正确从而拒绝对所述资源的访问，允许重新提交所述指定的信息项至多并且包括确定的次数，所述确定的次数是基于所述预定义的认证信息状态的复杂度的。2.如权利要求1所述的计算机实现的方法，还包括接收一个或多个额外凭据以获得对所述资源的访问，并且仅在所述额外凭据被验证为正确时许可对所述资源的访问。3.如权利要求1所述的计算机实现的方法，其中，所述资源是基于网络的资源，并且所述认证请求是由与所述基于网络的资源相关联的服务器通过通信网络接收的。4.如权利要求1所述的计算机实现的方法，其中，所述认证请求是通过计算设备的用户界面接收的，执行所述计算机实现的方法的处理器位于所述计算设备中，并且所述资源在本地可用于所述计算设备。5.如权利要求1所述的计算机实现的方法，其中，所述预定义的认证信息状态中的至少一种状态指定所述凭据中的一个凭据将被不正确地输入。6.如权利要求1所述的计算机实现的方法，还包括向所述请求设备呈现一系列可选择的状态，所述一系列可选择的状态包括不允许许可对所述资源的至少一种状态的访问和允许许可对所述资源的至少一种其他状态的访问，并且其中，许可对所述资源的访问还包括仅在选择所述至少一种其他状态而不是所述至少一种状态的情况下许可对所述资源的访问。7.如权利要求1所述的计算机实现的方法，还包括呈现一系列可选择的状态，所述一系列可选择的状态包括多种可选择的状态，每种可选择的状态都提供对响应的提示，其中，所述多种可选择的状态中仅有一种可选择的状态被包括在所述共享秘密中，使得如果所述多种可选择的状态中的任意剩余可选择的状态被选择，则将拒绝对所述资源的访问。8.如权利要求7所述的计算机实现的方法，还包括仅在接收到对与在所述共享秘密中包括的所述一种可选择的状态相关联的所述提示的正确响应的情况下许可对所述资源的访问。9.如权利要求1所述的计算机实现的方法，其中，所述网络资源与接收所述认证请求的网站相关联，并且其中，所述预定义的认证信息状态中的至少一种状态指定所述请求设备通过预先确定的替代网站来访问所述网站，以便许可对所述资源的访问。10.如权利要求2所述的计算机实现的方法，还包括：当所提供的所述额外凭据中的一个额外凭据是现在过期的先前有效的凭据时，拒绝对所述资源的访问。11.如权利要求1所述的计算机实现的方法，其中，响应于确定所指定的信息项中的每个信息项正确地匹配其对应的预定义的认证信息状态，许可对所述资源的访问。12.一种或多种计算机可读存储器设备，其存储用于建立允许访问一个或多个受保护
资源的账户的指令，所述指令在由布置在计算设备中的一个或多个处理器执行时使得所述计算设备进行以下操作：利用与所述一个或多个受保护资源相关联的访问控制机制来建立凭据和共享密钥，其中，建立所述共享秘密包括建立以预定义的顺序排列的预定义的认证信息状态，所述凭据和所述共享秘密将被呈现给所述访问控制机制以获得对所述一个或多个受保护资源的访问；以及将所述凭据存储在第一数据结构中，使得在从请求访问所述一个或多个受保护资源的请求设备接收到认证尝试时，所述访问控制机制能够访问所述凭据，其中，所允许的认证尝试的数量是至少部分地基于所述预定义的认证信息状态的复杂度的。13.如权利要求12所述的一种或多种计算机可读存储器设备，其中，所述指令在由布置在所述计算设备中的所述一个或多个处理器执行时进一步使得所述计算设备进行以下操作：将标引与存储在所述第一数据结构中的所述凭据相关联，所述标引向所述访问控制机制指示能从其访问所述共享秘密的位置，其中，所述共享秘密包括用于在接收到来自能从其访问所述共享秘密的所述位置的认证请求时执行一个或多个状态机步骤并与所述访问控制机制交互的可执行代码，所述认证请求请求访问所述一个或多个受保护资源。14.如权利要求13所述的一种或多种计算机可读存储器设备，还包括公共数据结构，所述公共数据结构包括所述第一数据结构和所述第二数据结构。15.如权利要求12所述的一种或多种计算机可读存储器设备，其中，建立所述共享秘密还包括：建立共享秘密，使得向访问所述账户的请求设备呈现顺序地呈现的一系列可选择的状态，所述可选择的状态包括不允许许可对所述一个或多个受保护资源的访问的至少一种状态，以及允许许可对所述一个或多个受保护资源的访问的至少一种其他状态，从而使得仅在所述请求设备选择所述至少一种其他状态而不是所述至少一种状态的情况下许可对所述一个或多个受保护资源的访问。16.如权利要求12所述的一种或多种计算机可读存储器设备，其中，建立所述共享秘密还包括：建立共享秘密，使得向访问所述账户的请求设备顺序地呈现多种可选择的状态，每种可选择的状态都针对响应而提示所述请求设备，其中，选择所述多种可选择的状态中的仅一种状态允许对所述一个或多个受保护资源的访问，而选择所述多种可选择的状态中的任意剩余可选择的状态拒绝对所述一个或多个受保护资源的访问。17.一种计算设备，包括：一个或多个处理器；被配置为与设备的用户交互的用户界面(ui)；存储计算机可读指令的存储器设备，当由所述一个或多个处理器执行时，使所述计算设备进行以下操作：执行状态机；从所述用户界面接收用于访问受保护资源的请求；响应于用于访问所述受保护资源的所述请求，通过所述用户界面呈现提示以提供访问所述受保护资源所需的预定义的认证信息，所述提示使得能够由所述状态机在所述状态机
的预定义的状态序列中的每种状态期间接收用户指定的认证信息；使用所述状态机验证所述用户指定的认证信息是否匹配所述预定义的认证信息，并且在每种状态期间并且以所述预定义的序列被正确地输入；以及接收一个或多个额外用户凭据以获得对所述资源的访问，并且仅在所述额外用户凭据被验证为正确的情况下许可对所述资源的访问，当所述额外用户凭据中的一个额外用户凭据被不正确地提供使得拒绝对所述资源的访问时，允许所述用户将针对所述状态中的每种状态的所述用户指定的信息重新提交指定的次数，所述指定的次数至少部分地基于所述一个额外凭据的复杂度。18.如权利要求17所述的计算设备，其中，所述预定义的状态序列中的至少一种状态指定所述额外用户凭据中的一个额外用户凭据通过所述用户界面将被不正确地输入。19.如权利要求17所述的计算设备，其中，响应于验证在每种状态期间并且以所述预定义的序列正确地输入所述预定义的认证信息，许可对所述资源的访问。20.如权利要求17所述的计算设备，还包括使所述计算设备向所述用户界面呈现一系列用户可选择的状态，所述用户可选择的状态包括多种用户可选择的状态，每种用户可选择的状态都提供对响应的提示，其中，所述多种用户可选择的状态中仅有一种用户可选择的状态被包括在所述用户与所述状态机之间的共享秘密中，使得如果所述多种用户可选择的状态中的任意剩余用户可选择的状态被选择，则将拒绝对所述资源的访问。

技术总结
公开了一种用户认证技术，其允许用户访问受保护资源，诸如网站上的账户或计算设备上的安全文件，所述计算设备诸如是智能电话、个人计算机、平板计算机等，该技术采用共享秘密，所述共享秘密采用状态机以在一系列状态之间顺序地过渡，在所述一系列状态期间，请求用户输入也是共享秘密的一部分的预定义信息。亦即，所述共享秘密包括必须要提供的用户特定数据，以及要提供用户特定数据或凭据的特定顺序或方式。所述认证技术可以补充常规用户的一因素或两因素认证技术，所述认证技术需要例如口令或者用户名和口令两者，通常用于获得对资源的访问。访问。访问。


技术研发人员：D
受保护的技术使用者：微软技术许可有限责任公司
技术研发日：2018.03.26
技术公布日：2022/4/12